김창범 해커스랩 연구소장은 한국과학기술원(KAIST) 재학 당시 「유니콘」이라는 유닉스 시스템 연구 동아리에서 활동한 국내 해커 1세대다. 유니콘은 현재 KAIST에서 현재 가장 유명한 해커 동아리인 「쿠스」의 모체가 됐다. KAIST 내에서 유명한 해커의 한 명이었던 김 소장은 KAIST에서 전산학 학사와 석사를 모두 마쳤으며 현재 박사과정을 밟고 있다. 정보보호라는 용어 자체가 생소했던 97년에 침입탐지시스템(IDS)을 개발해 주위 사람을 놀라게 했다. 이어 98년 방화벽 개발을 주도했으며 제품 개발과 함께 보안 솔루션업체인 인젠을 설립했다. 현재는 보안컨설팅과 솔루션업체인 해커스랩 연구소장과 부사장을 겸임하고 있다. 양지에서 활동하는 해커 1세대가 말하는 정보보호론이다. 편집자
인터넷이 급속히 발전하면서 인터넷은 기업의 비즈니스 수단으로 중요한 위치를 차지하게 됐다. 인터넷이 양적으로는 급속하게 팽창했으나 아직까지 충분한 수준의 보안대책·시설·관리 등이 이루어지지 않아 수많은 보안사고가 발생하고 있으며 심각한 경우에는 기업의 생존을 위협하기도 한다.
아직까지 정보보호에 관한 정확한 관리나 평가방법이 통용되지 않는 상황이다. 따라서 정보보호 위협에 대해서 평가하고 이를 보완하기 위한 투자근거가 마련되지 않고 있다. 근래에 들어서 ITU에서는 이런 문제점을 해결하는 표준화 작업이 진행중이다. 이는 영국의 국가 표준인 BS7799(Information Security Management)를 근간으로 시작됐으며 곧 표준안이 나올 것으로 예상된다.
정보보호란 한마디로 「정보에 대해서 허가된 사람이 원하는 경우에 정확한 정보를 제공한다」고 규정할 수 있다. 이를 위해서는 정보에 대한 비밀성(secrecy), 무결성(integrity), 가용성(availability)을 보장해야 한다. 이런 요구사항은 정보보호의 속성일 뿐만 아니라 정보보호의 기본 목표이기도 하다. 각각의 요구사항은 다음과 같은 의미를 가지고 있다.
비밀성
비밀성이란 정보에 대해서 소유자의 인가를 받은 사람만이 접근할 수 있도록 하는 것을 말한다. 즉 인가되지 않은 사람은 정보가 있는 곳에 물리적·논리적으로 접근할 수 없도록 해야 하며 접근할 수 있었다고 하더라도 정보를 해독할 수 없어야 한다. 그러므로 비밀성을 유지하기 위해서는 논리적·물리적인 접근통제와 암호화가 필요하다.
무결성
무결성이란 정보의 변경 권한을 가진 사람이 정해진 절차에 따라서만 이를 진행하는 것을 의미한다. 무결성을 보장하기 위해서는 고의적인 접근에 대처하는 것뿐 아니라 비의도적인 정보손실이나 자연재해 등도 고려해야 한다. 또한 정보가 손상했을 경우 이를 탐지해 복구할 수 있는 방법을 갖춰야 한다.
가용성
가용성이란 적절한 권한과 방법을 사용해서 접근한 사람은 언제나 정보를 사용할 수 있어야 한다는 것이다. 가용성을 보장하기 위해서는 정보를 관리하고 제공하는 방법에 있어 안정성과 안전성을 유지해야 한다. 물리적인 안전성과 시스템 중복성, 데이터 백업 등의 작업을 거쳐 언제라도 정보를 제공할 수 있도록 해야 한다.
이같이 정보보호의 모든 사항을 만족시키기 위해서는 여러 가지 상충되는 면이 발생하며 많은 비용이 요구된다. 그러므로 정보보호를 위해서는 정보시스템이 가지고 있는 가치를 파악하고 이에 대한 위험성과 예상되는 손실을 정량화해 적절한 수준의 투자와 관리를 하는 것이 바람직하다.
여기에 제시한 그림은 정보자산에 대한 위험성과 통제가 어떤 상관관계를 가지고 있는지를 보여준다. 그림참조
그림에서와 같이 보안의 위협과 취약점은 위험을 증가시키며 정보자산에 악영향을 미친다. 그러므로 보안에 대한 위험을 줄이기 위해서는 위험요소에 대한 보안대책을 세워서 통제해야 한다. 보안통제를 통해 위협을 막을 수 있으며 궁극적으로 자산을 보호할 수 있는 것이다.
자산이란 가치를 부여할 수 있는 것으로 보호의 대상이다. 자신의 자산을 정확하게 정의하고 파악하는 것은 정보보호에 있어서 필수적으로 수행하는 첫 단계다. 모든 자산은 분명히 구분돼야 하며 각각이 가지고 있는 가치를 파악해야 한다. 이렇게 분류된 자산에 대해서는 어떻게 보호할 것인가에 대한 정책을 세우고 관리해야 한다. 또 관리에 따른 책임과 의무를 명확하게 규정해야 한다. 자산의 종류에는 정보·소프트웨어·하드웨어·서비스 등이 있다. 그리고 정보보호의 관점에 있어 자산을 상실하는 것은 비밀성·무결성·유용성에 손상을 입는 것을 말한다.
위협이란 자산에 위해를 가할 수 있는 모든 것을 말한다. 정보시스템의 자산에 대한 위협은 자연에 의한 위협, 인간에 의한 비의도적인 위협, 인간에 의한 의도적인 위협 등이 있다. 취약성이란 위협요소에 의해 침해될 수 있는 보안절차, 기술적 통제, 물리적 통제, 기타 다른 통제내의 어떤 조건이나 결점을 말한다. 즉 취약성이란 자산이 가지고 있는 약점이다. 이 약점이 위협에 노출될 경우에 자산을 상실하게 된다. 취약성에는 물리적·자연적·환경적·하드웨어·매체·전자파·통신·사람에 의한 것들이 있다.
보안위험은 위협요소가 취약성에 접근했을 때 발생한다. 위협요소가 큰 경우나 취약성이 많은 경우에 보안에 대한 위험이 증가하게 된다. 그러므로 보안 위험을 분석하는 것은 현재의 보안상태를 파악하고 대처하기 위해 필수적으로 필요하다.
보안위험을 분석한 결과를 통해서 보안 요구사항이 발생하며 이런 위험을 수용할 수 있는 수준까지 낮추기 위해서 새로운 보안대책을 세워서 적용하게 된다.
이와 같이 정보를 보호하기 위해서는 체계적인 프레임워크에 의해서 보안을 관리해야 한다. BS7799에서는 보안관리를 위해 정보보호 관리시스템(ISMS:Information Security Management System)을 제시하고 있는데 다음과 같이 6단계의 과정으로 이루어져 있다.
1. 정책 수립=이 과정에서는 자산의 소유자가 보안을 어떻게 할 것인지를 정한다. 보안정책은 자산의 가치에 따라서 비밀성·무결성·가용성을 어떤 방법으로 어떻게 보장할 것인지를 정하는 일이다.
2. 대상선정=이 과정에서는 어떤 부분에 대해서 보안관리를 할 것인지를 정한다. 관리대상은 조직위치·자산·기술 등에 의해서 선정한다.
3. 위험평가=이 과정에서는 자산의 가치, 취약성, 위협, 보안대책을 종합적으로 분석해 위험성을 평가하며 등급을 정한다.
4. 위험관리=이 과정에서는 피해자가 수용할 수 있는 수준까지 위험부담을 줄이기 위한 조치를 강구해 그런 위험수준을 유지하도록 한다.
5. 통제대상과 방법선택=이 과정에서는 위험에 대처하기 위해 통제해야 할 대상과 대처방법을 선택한다. 또한 선택된 대상과 방법이 타당함을 보인다.
6. 대상의 보완=이 과정에서는 앞서 선택된 대상에 대해서 실제적인 보완작업을 수행한다.
인터넷과 인터넷을 이용한 비즈니스가 급속한 발전을 하고 있으며 모든 기업이 인터넷을 사용한 비즈니스가 전체 사업의 근간이 될 전망이다. 그러나 아직까지 인터넷이라고 하는 사이버 공간에서 보안을 어떻게 유지할 수 있는지에 대해서는 체계적이고 구체적인 방안이 확립되지 못한 실정이다. 인터넷의 확산과 더불어 보안사고가 급격하게 증가하고 있다. 또한 인터넷 공간을 이용한 새로운 범죄가 잇따라 발생하고 있는 추세다. 미래의 인터넷 세계에서는 정보보호가 국가나 기업의 흥망을 좌우할 정도로 큰 비중을 차지하게 될 것이다.
지금까지 소개한 정보보호 관리방법은 인터넷 환경에서 어떻게 자신이 가지고 있는 정보자산을 보호할 것인가에 대한 프레임워크를 제공하고 있다. 어떤 과정에 의해서 정보보호를 할 것인가를 정의하고 있는 것이다. 그러나 이 방법을 실제로 적용하기 위해서는 각자의 환경에 따라서 적절하게 사용해야 하며 대부분의 경우에 전문가의 도움을 받는 것이 필요하다.